2025年学历类自考电子商务安全导论-审计学参考题库含答案解析(5套).docxVIP

2025年学历类自考电子商务安全导论-审计学参考题库含答案解析(5套)

2025年学历类自考电子商务安全导论-审计学参考题库含答案解析(篇1)

【题干1】电子商务交易中，SSL/TLS协议通过哪种加密技术实现客户端与服务器的身份验证？

【选项】A.对称加密B.非对称加密C.哈希算法D.数字签名

【参考答案】B

【详细解析】SSL/TLS协议使用非对称加密（如RSA）验证服务器证书，交换对称密钥。对称加密用于数据传输加密，哈希算法用于完整性校验，数字签名用于身份认证但非核心验证机制。

【题干2】电子商务系统审计时，内审人员发现某支付接口存在未授权访问漏洞，应优先采取哪种审计程序？

【选项】A.控制测试B.实质性程序C.符合性测试D.风险评估

【参考答案】A

【详细解析】控制测试针对内部控制有效性，直接评估支付接口的访问控制机制是否有效。实质性程序验证具体交易数据，符合性测试检查制度与流程，风险评估用于初步识别风险。

【题干3】基于PKI（公钥基础设施）的电子商务认证中，数字证书颁发机构（CA）的核心功能是？

【选项】A.加密交易数据B.验证证书合法性C.处理用户登录请求D.生成哈希值

【参考答案】B

【详细解析】CA的核心职责是签发和吊销数字证书，验证申请者身份并确保其公钥真实性。加密交易数据需客户端与服务器协商密钥，哈希值用于数据完整性校验。

【题干4】电子商务审计中，实质性程序的主要目的是验证财务报表的？

【选项】A.内部控制有效性B.交易真实性C.系统安全性D.合规性

【参考答案】B

【详细解析】实质性程序直接检查交易和账户记录的真实性、准确性及完整性，如抽查订单金额与系统记录是否一致。内部控制有效性由控制测试验证，合规性通过符合性测试评估。

【题干5】电子商务支付系统中，使用非对称加密传输敏感信息时，会话密钥的生成通常依赖？

【选项】A.服务器的私钥B.客户端的公钥C.伪随机数生成器D.数字证书

【参考答案】C

【详细解析】会话密钥基于伪随机数生成器（如DRBG）与双方共享的随机数协商生成，而非直接使用服务器私钥或客户端公钥。数字证书仅用于身份验证。

【题干6】电子商务系统审计中，发现某日志文件缺失访问记录，应首先怀疑其违反了哪种安全标准？

【选项】A.ISO27001B.PCIDSSC.GDPRD.HIPAA

【参考答案】B

【详细解析】PCIDSS（支付卡行业数据安全标准）要求严格记录交易和访问日志，缺失日志直接违反其第10条日志管理要求。ISO27001为通用信息安全管理标准，GDPR和HIPAA分别针对个人数据与医疗数据保护。

【题干7】电子商务审计中，实质性测试方法不包括？

【选项】A.统计抽样B.验证式抽样C.控制测试D.实地观察

【参考答案】C

【详细解析】控制测试属于内部控制评估范畴，实质性测试方法包括统计抽样、验证式抽样、分析程序等。实地观察可能用于控制测试或符合性测试。

【题干8】电子商务交易中，数字签名的主要作用是？

【选项】A.加密敏感数据B.验证数据完整性C.确保交易双方身份D.以上均正确

【参考答案】D

【详细解析】数字签名通过哈希算法和私钥加密实现双重保障：验证数据未被篡改（完整性）和确认发送者身份（真实性）。加密数据通常通过SSL/TLS完成。

【题干9】电子商务审计中，若发现某系统未定期更新安全补丁，应将其归类为哪种风险？

【选项】A.战略风险B.操作风险C.信息风险D.合规风险

【参考答案】C

【详细解析】未及时更新补丁导致系统漏洞，属于信息资产面临的安全威胁（信息风险）。操作风险指日常运营中的执行错误，战略风险涉及长期目标实现，合规风险违反法律法规。

【题干10】电子商务支付审计中，验证交易金额是否与系统记录一致应采用哪种实质性程序？

【选项】A.控制测试B.实地检查C.抽查比对D.分析程序

【参考答案】C

【详细解析】抽查比对（比如从系统中随机抽取交易记录，核对纸质发票或第三方支付平台数据）是实质性程序中直接验证交易真实性的典型方法。控制测试检查金额校验规则是否有效，分析程序侧重趋势分析。

【题干11】电子商务系统审计中，若发现某API接口缺乏输入验证功能，可能导致？

【选项】A.数据泄露B.会话劫持C.SQL注入D.以上均可能

【参考答案】D

【详细解析】API接口缺乏输入验证可能引发多种攻击：输入恶意数据导致数据库泄露（A）、篡改会话令牌导致劫持（B